設定例集#62: DPI学習機能を併用したポリシーベースルーティング

構成
設定開始前に
自動設定の確認と削除
システム時刻の設定
ルーターAの設定
ルーターBの設定
設定の保存
ファイアウォールログについて
ルーターAのコンフィグ
ルーターBのコンフィグ

設定例集#62: [ 設定例集目次 ] ページ内目次

センター・拠点間をVPN回線で接続した構成において、拠点側は通常センター経由で通信を行いますが、拠点側ではさらにアプリケーションコントロール(DPI)、DPI学習機能、ポリシーベースルーティング(PBR)を利用して、Office 365 関連の通信だけは拠点側が独自に接続しているISP経由でインターネットへ出します。
Note
アプリケーションコントロール(DPI)機能はAT-AR2050Vでは使用できません。
Note
本設定例のルーターB(拠点側ルーター)では、サンドバイン社が提供するアプリケーションシグネチャデータベースを使用するためアニュアルライセンスが必要です。

構成

設定例集#62: [ 設定例集目次 ] ページ内目次

 
ルーターA
ルーターB
ISP-Aから提供された情報
接続用ユーザー名 user01@ispA user02@ispA
接続用パスワード isppasswdA-01 isppasswdA-02
PPPoEサービス名 ISP-A ISP-A
WAN側IPアドレス 10.0.0.1 10.0.0.2
ISP-Bから提供された情報
接続用ユーザー名   user01@ispB
接続用パスワード   isppasswdB-01
PPPoEサービス名   ISP-B
WAN側IPアドレス   10.1.0.1
ルーターの基本設定
WAN側物理インターフェース eth1 eth1
WAN側IPアドレス(1) 10.0.0.1/32 (ppp0) 10.0.0.2/32 (ppp0)
WAN側IPアドレス(2)   10.1.0.1/32 (ppp1)
LAN側IPアドレス 192.168.10.1/24 (vlan1) 192.168.20.1/24 (vlan1)
IPsecトンネルIPアドレス 172.16.0.1/30 (tunnel1) 172.16.0.2/30 (tunnel1)

[事前共有鍵]

設定開始前に

自動設定の確認と削除

本設定例に掲載されているコマンドは、設定がまったく行われていない本製品の初期状態(スタートアップコンフィグなしで起動した状態)から入力することを前提としています。

そのため、通常は erase startup-config を実行し、スタートアップコンフィグが存在しない状態で起動してから、設定を始めてください。

ただし、本製品はスタートアップコンフィグなしで起動した場合でも、特定の条件を満たすと自動的な設定を行うことがあるため、その場合は設定例にしたがってコマンドを入力しても、コマンドがエラーになったり、全体として意図した動作にならない可能性があります。

これを避けるため、設定開始にあたっては次のいずれかの方法をとることをおすすめします。
自動設定が行われる条件などの詳細については、AMF応用編のAMFネットワーク未検出時の拡張動作をご参照ください。

システム時刻の設定

ログなどの記録日時を正確に保ち、各種機能を適切に動作させるため、システム時刻は正確にあわせて運用することをおすすめします。
ご使用の環境にあわせ、次のいずれかの方法でシステム時刻を設定してください。

ルーターAの設定

設定例集#62: [ 設定例集目次 ] ページ内目次
  1. LANポートにおいて初期状態で有効化されているスパニングツリープロトコル(RSTP)を無効化します。これにはspanning-tree enableコマンドをno形式で実行します。
    スパニングツリープロトコルの詳細は「L2スイッチング」/「スパニングツリープロトコル」をご覧ください。
    no spanning-tree rstp enable
  2. WANポートeth1上にPPPoEインターフェースppp0を作成します。これには、encapsulation pppコマンドを使います。
    PPPの詳細は「PPP」/「一般設定」をご覧ください。
    interface eth1
 encapsulation ppp 0
  3. PPPインターフェースppp0に対し、PPPoE接続のための設定を行います。

    ・PPPoEサービス名(ppp service-name
    ・IPCPによるDNSサーバーアドレスの取得要求(ppp ipcp dns
    ・LCP EchoによるPPP接続状態の確認(keepalive
    ・ユーザー名(ppp username
    ・パスワード(ppp password
    ・IPアドレスの固定設定(ip address
    ・MSS書き換え(ip tcp adjust-mss

    PPPの詳細は「PPP」/「一般設定」をご覧ください。
    interface ppp0
 ppp service-name ISP-A
 ppp ipcp dns request
 keepalive
 ppp username user01@ispA
 ppp password isppasswdA-01
 ip address 10.0.0.1/32
 ip tcp adjust-mss pmtu
  4. LAN側インターフェースvlan1にIPアドレスを設定します。これにはip addressコマンドを使います。
    IPインターフェースの詳細は「IP」/「IPインターフェース」をご覧ください。
    interface vlan1
 ip address 192.168.10.1/24
  5. ファイアウォール、NAT、ポリシーベースルーティング(PBR)のルール作成時に使うエンティティー(通信主体)を定義します。
    エンティティー定義の詳細は「UTM」/「エンティティー定義」をご覧ください。

    内部ネットワークを表すゾーン「private」を作成します。
    これには、zonenetworkip subnetの各コマンドを使います。
    zone private
 network lan
  ip subnet 172.16.0.0/30
  ip subnet 192.168.10.0/24
  ip subnet 192.168.20.0/24
  6. 外部ネットワークを表すゾーン「public」を作成します。
    前記コマンドに加え、ここではhostip addressの各コマンドも使います。
    zone public
 network wan
  ip subnet 0.0.0.0/0 interface ppp0
  host ppp0
   ip address 10.0.0.1
  7. ファイアウォールやNATのルール作成時に通信内容を指定するために使う「アプリケーション」を定義します。
    これには、applicationprotocoldportの各コマンドを使います。
    アプリケーション定義の詳細は「UTM」/「アプリケーション定義」をご覧ください。

    ESPパケットを表すカスタムアプリケーション「esp」を定義します。
    application esp
 protocol 50
  8. ISAKMPパケットを表すカスタムアプリケーション「isakmp」を定義します。
    application isakmp
 protocol udp
 dport 500
  9. 外部からの通信を遮断しつつ、内部からの通信は自由に行えるようにするファイアウォール機能の設定を行います。
    これには、firewallruleprotectの各コマンドを使います。

    ・rule 10 - 内部から内部への通信を許可します
    ・rule 20 - 内部から外部への通信を許可します
    ・rule 30, 40 - ISAKMPパケットを許可します
    ・rule 50, 60 - ESPパケットを許可します
    ・rule 70 - 本製品のWAN側インターフェースから外部へのDNS通信を許可します

    ファイアウォールの詳細は「UTM」/「ファイアウォール」をご覧ください。
    firewall
 rule 10 permit any from private to private no-state-enforcement
 rule 20 permit any from private to public
 rule 30 permit isakmp from public.wan.ppp0 to public
 rule 40 permit isakmp from public to public.wan.ppp0
 rule 50 permit esp from public.wan.ppp0 to public
 rule 60 permit esp from public to public.wan.ppp0
 rule 70 permit dns from public.wan.ppp0 to public
 protect
  10. NAT機能の設定を行います。
    これには、natruleenableの各コマンドを使います。

    ・rule 10 - 内部のコンピューターがダイナミックENAT機能を使用できるようにします

    NATの詳細は「UTM」/「NAT」をご覧ください。
    nat
 rule 10 masq any from private to public
 enable
  11. 対向ルーターとの間で使用するISAKMPの事前共有鍵を設定します。これにはcrypto isakmp keyコマンドを使います。
    crypto isakmp key secret address 10.0.0.2
  12. IPsecトンネルインターフェースtunnel1を作成します。
    トンネルインターフェースの詳細は「VPN」/「トンネルインターフェース」を、IPsecの詳細は「VPN」/「IPsec」をご覧ください。

    これには、interfaceコマンドでトンネルインターフェースを作成し、以下の情報を設定します。

    ・トンネルインターフェースのMTU(mtu
    ・トンネルインターフェースから送信するデリバリーパケットの始点(自装置)アドレス(tunnel source
    ・トンネルインターフェースから送信するデリバリーパケットの終点(対向装置)アドレス(tunnel destination
    ・トンネルインターフェースに対するIPsec保護の適用(tunnel protection ipsec
    ・トンネリング方式(tunnel mode ipsec
    ・トンネルインターフェースのIPアドレス(ip address
    ・トンネルインターフェースにおけるMSS書き換え設定(ip tcp adjust-mss
    interface tunnel1
 mtu 1300
 tunnel source ppp0
 tunnel destination 10.0.0.2
 tunnel protection ipsec
 tunnel mode ipsec ipv4
 ip address 172.16.0.1/30
 ip tcp adjust-mss 1260
  13. デフォルト経路(0.0.0.0/0)とルーターBのLAN側(192.168.20.0/24)への経路を設定します。これにはip routeコマンドを使います。
    ただし、ルーター間のVPN接続が有効になるまでは、対向側LANへの経路は使用できないように設定します。
    IP経路設定の詳細は「IP」/「経路制御」をご覧ください。
    ip route 0.0.0.0/0 ppp0
ip route 192.168.20.0/24 Null 254
ip route 192.168.20.0/24 tunnel1
  14. DNSリレー機能を有効にします。これには、ip dns forwardingコマンドを使います。
    DNSリレー機能の詳細は「IP付加機能」/「DNSリレー」をご覧ください。
    ip dns forwarding
  15. 以上で設定は完了です。
    end

ルーターBの設定

設定例集#62: [ 設定例集目次 ] ページ内目次
  1. LANポートにおいて初期状態で有効化されているスパニングツリープロトコル(RSTP)を無効化します。これにはspanning-tree enableコマンドをno形式で実行します。
    スパニングツリープロトコルの詳細は「L2スイッチング」/「スパニングツリープロトコル」をご覧ください。
    no spanning-tree rstp enable
  2. WANポートeth1上にPPPoEインターフェースppp0(ISP-Aへの接続用)とppp1(ISP-Bへの接続用)を作成します。これには、encapsulation pppコマンドを使います。
    PPPの詳細は「PPP」/「一般設定」をご覧ください。
    interface eth1
 encapsulation ppp 0
 encapsulation ppp 1
  3. PPPインターフェースppp0(ISP-A接続用)に対し、PPPoE接続のための設定を行います。

    ・PPPoEサービス名(ppp service-name
    ・LCP EchoによるPPP接続状態の確認(keepalive
    ・ユーザー名(ppp username
    ・パスワード(ppp password
    ・IPアドレスの固定設定(ip address
    ・MSS書き換え(ip tcp adjust-mss

    PPPの詳細は「PPP」/「一般設定」をご覧ください。
    interface ppp0
 ppp service-name ISP-A
 keepalive
 ppp username user02@ispA
 ppp password isppasswdA-02
 ip address 10.0.0.2/32
 ip tcp adjust-mss pmtu
  4. 同様にしてPPPインターフェースppp1(ISP-B接続用)に対し、PPPoE接続のための設定を行います。
    interface ppp1
 ppp service-name ISP-B
 keepalive
 ppp username user01@ispB
 ppp password isppasswdB-01
 ip address 10.1.0.1/32
 ip tcp adjust-mss pmtu
  5. LAN側インターフェースvlan1にIPアドレスを設定します。これにはip addressコマンドを使います。
    IPインターフェースの詳細は「IP」/「IPインターフェース」をご覧ください。
    interface vlan1
 ip address 192.168.20.1/24
  6. ファイアウォール、NAT、ポリシーベースルーティング(PBR)のルール作成時に使うエンティティー(通信主体)を定義します。
    エンティティー定義の詳細は「UTM」/「エンティティー定義」をご覧ください。

    内部ネットワークを表すゾーン「private」を作成します。
    これには、zonenetworkip subnetの各コマンドを使います。
    zone private
 network lan
  ip subnet 172.16.0.0/30
  ip subnet 192.168.10.0/24
  ip subnet 192.168.20.0/24
 network tun1
  ip subnet 0.0.0.0/0 interface tunnel1
  7. 外部ネットワークを表すゾーン「public」を作成します。
    前記コマンドに加え、ここではhostip addressの各コマンドも使います。
    zone public
 network eth1-1
  ip subnet 0.0.0.0/0 interface ppp0
  host ppp0
   ip address 10.0.0.2
 network eth1-2
  ip subnet 0.0.0.0/0 interface ppp1
  host ppp1
   ip address 10.1.0.1
  8. ファイアウォールやNATのルール作成時に通信内容を指定するために使う「アプリケーション」を定義します。
    これには、applicationprotocoldportの各コマンドを使います。
    アプリケーション定義の詳細は「UTM」/「アプリケーション定義」をご覧ください。

    ESPパケットを表すカスタムアプリケーション「esp」を定義します。
    application esp
 protocol 50
  9. ISAKMPパケットを表すカスタムアプリケーション「isakmp」を定義します。
    application isakmp
 protocol udp
 dport 500
  10. 外部からの通信を遮断しつつ、内部からの通信は自由に行えるようにするファイアウォール機能の設定を行います。
    これには、firewallruleprotectの各コマンドを使います。

    ・rule 10 - 内部から内部への通信を許可します
    ・rule 20 - 内部から外部への通信を許可します
    ・rule 30, 40 - ISAKMPパケットを許可します
    ・rule 50, 60 - ESPパケットを許可します
    ・rule 70 - ppp1(ISP-B側)インターフェースから外部への通信について、DPIによる判別が完了していないトラフィックを許可します

    ファイアウォールの詳細は「UTM」/「ファイアウォール」をご覧ください。
    firewall
 rule 10 permit any from private to private no-state-enforcement
 rule 20 permit any from private to public
 rule 30 permit isakmp from public.eth1-1.ppp0 to public
 rule 40 permit isakmp from public to public.eth1-1.ppp0
 rule 50 permit esp from public.eth1-1.ppp0 to public
 rule 60 permit esp from public to public.eth1-1.ppp0
 rule 70 permit undecided from public.eth1-2.ppp1 to public.eth1-2
 protect
  11. NAT機能の設定を行います。
    これには、natruleenableの各コマンドを使います。

    ・rule 10 - 内部のコンピューターがダイナミックENAT機能を使用できるようにします

    NATの詳細は「UTM」/「NAT」をご覧ください。
    nat
 rule 10 masq any from private to public.eth1-2 with src public.eth1-2.ppp1
 enable
  12. 対向ルーターとの間で使用するISAKMPの事前共有鍵を設定します。これにはcrypto isakmp keyコマンドを使います。
    crypto isakmp key secret address 10.0.0.1
  13. アプリケーションコントロール(DPI)およびDPI学習機能の設定を行います。
    これには、dpiproviderlearningenableの各コマンドを使います。
    アプリケーションコントロール(DPI)の詳細は「UTM」/「アプリケーションコントロール(DPI)」をご覧ください。
    dpi
 provider procera
 learning
 enable
  14. ポリシーベースルーティング(PBR)を有効化し、LAN側からOffice 365 へのトラフィックを ppp1(ISP-B側)経由で転送するよう設定します。
    これには、policy-based-routingapplication-decisionpolicy-based-routing enableip policy-routeの各コマンドを使います。

    ポリシーベースルーティングの詳細は「トラフィック制御」/「ポリシーベースルーティング」をご覧ください。 
    policy-based-routing
 application-decision once-only
 ip policy-route 10 match micrsoft from private nexthop ppp1
 ip policy-route 20 match office from private nexthop ppp1
 policy-based-routing enable
  15. トンネルインターフェースで受信したパケットに対して、UTM機能の処理が行われるようにします。これには、tunnel security-reprocessingコマンドを使います。
    tunnel security-reprocessing
  16. IPsecトンネルインターフェースtunnel1を作成します。
    トンネルインターフェースの詳細は「VPN」/「トンネルインターフェース」を、IPsecの詳細は「VPN」/「IPsec」をご覧ください。

    これには、interfaceコマンドでトンネルインターフェースを作成し、以下の情報を設定します。

    ・トンネルインターフェースのMTU(mtu
    ・トンネルインターフェースから送信するデリバリーパケットの始点(自装置)アドレス(tunnel source
    ・トンネルインターフェースから送信するデリバリーパケットの終点(対向装置)アドレス(tunnel destination
    ・トンネルインターフェースに対するIPsec保護の適用(tunnel protection ipsec
    ・トンネリング方式(tunnel mode ipsec
    ・トンネルインターフェースのIPアドレス(ip address
    ・トンネルインターフェースにおけるMSS書き換え設定(ip tcp adjust-mss
    interface tunnel1
 mtu 1300
 tunnel source ppp0
 tunnel destination 10.0.0.1
 tunnel protection ipsec
 tunnel mode ipsec ipv4
 ip address 172.16.0.2/30
 ip tcp adjust-mss 1260
  17. IPの経路情報をスタティックに設定します。これにはip routeコマンドを使います。

    ・デフォルト経路(0.0.0.0/0)を tunnel1 に向けます
    ・対向ルーターA(10.0.0.1)には ppp0(ISP-A側)経由で接続します
    ・ルーターAのLAN側(192.168.10.0/24)へは tunnel1 経由で通信します。
    ただし、ルーター間のVPN接続が有効になるまでは、対向側LANへの経路は使用できないように設定します。

    IP経路設定の詳細は「IP」/「経路制御」をご覧ください。
    ip route 0.0.0.0/0 tunnel1
ip route 10.0.0.1/32 ppp0
ip route 192.168.10.0/24 tunnel1
ip route 192.168.10.0/24 Null 254
  18. DNSサーバーとしてルーターAのLAN側アドレスを固定設定します。
    次のDNSリレーの設定とあわせて、ルーターB配下の端末はDNSの名前解決を、端末 → ルーターB → tunnel1 → ルーターA → ISP-AのDNSサーバーの流れで行います。
    ip name-server 192.168.10.1
  19. DNSリレー機能を有効にします。これには、ip dns forwardingコマンドを使います。
    DNSリレー機能の詳細は「IP付加機能」/「DNSリレー」をご覧ください。
    ip dns forwarding
  20. 以上で設定は完了です。
    end

設定の保存

設定例集#62: [ 設定例集目次 ] ページ内目次
■ 設定が完了したら、現在の設定内容を起動時コンフィグとして保存してください。これには、copyコマンドを「copy running-config startup-config」の書式で実行します。
awplus# copy running-config startup-config
Building configuration...
[OK]

また、write fileコマンド、write memoryコマンドでも同じことができます。
awplus# write memory
Building configuration...
[OK]

その他、設定保存の詳細については「運用・管理」/「コンフィグレーション」をご覧ください。

ファイアウォールログについて

■ ファイアウォールのログをとるには、次のコマンド(log(filter))を実行します。
awplus(config)# log buffered level informational facility kern msgtext Firewall

■ 記録されたログを見るには、次のコマンド(show log)を実行します。ここでは、ファイアウォールが出力したログメッセージだけを表示させています。
awplus# show log | include Firewall

ルーターAのコンフィグ

設定例集#62: [ 設定例集目次 ] ページ内目次
!
no spanning-tree rstp enable
!
interface eth1
 encapsulation ppp 0
!
interface ppp0
 ppp service-name ISP-A
 ppp ipcp dns request
 keepalive
 ppp username user01@ispA
 ppp password isppasswdA-01
 ip address 10.0.0.1/32
 ip tcp adjust-mss pmtu
!
interface vlan1
 ip address 192.168.10.1/24
!
zone private
 network lan
  ip subnet 172.16.0.0/30
  ip subnet 192.168.10.0/24
  ip subnet 192.168.20.0/24
!
zone public
 network wan
  ip subnet 0.0.0.0/0 interface ppp0
  host ppp0
   ip address 10.0.0.1
!
application esp
 protocol 50
!
application isakmp
 protocol udp
 dport 500
!
firewall
 rule 10 permit any from private to private no-state-enforcement
 rule 20 permit any from private to public
 rule 30 permit isakmp from public.wan.ppp0 to public
 rule 40 permit isakmp from public to public.wan.ppp0
 rule 50 permit esp from public.wan.ppp0 to public
 rule 60 permit esp from public to public.wan.ppp0
 rule 70 permit dns from public.wan.ppp0 to public
 protect
!
nat
 rule 10 masq any from private to public
 enable
!
crypto isakmp key secret address 10.0.0.2
!
interface tunnel1
 mtu 1300
 tunnel source ppp0
 tunnel destination 10.0.0.2
 tunnel protection ipsec
 tunnel mode ipsec ipv4
 ip address 172.16.0.1/30
 ip tcp adjust-mss 1260
!
ip route 0.0.0.0/0 ppp0
ip route 192.168.20.0/24 Null 254
ip route 192.168.20.0/24 tunnel1
!
ip dns forwarding
!
end

ルーターBのコンフィグ

設定例集#62: [ 設定例集目次 ] ページ内目次
!
no spanning-tree rstp enable
!
interface eth1
 encapsulation ppp 0
 encapsulation ppp 1
!
interface ppp0
 ppp service-name ISP-A
 keepalive
 ppp username user02@ispA
 ppp password isppasswdA-02
 ip address 10.0.0.2/32
 ip tcp adjust-mss pmtu
!
interface ppp1
 ppp service-name ISP-B
 keepalive
 ppp username user01@ispB
 ppp password isppasswdB-01
 ip address 10.1.0.1/32
 ip tcp adjust-mss pmtu
!
interface vlan1
 ip address 192.168.20.1/24
!
zone private
 network lan
  ip subnet 172.16.0.0/30
  ip subnet 192.168.10.0/24
  ip subnet 192.168.20.0/24
 network tun1
  ip subnet 0.0.0.0/0 interface tunnel1
!
zone public
 network eth1-1
  ip subnet 0.0.0.0/0 interface ppp0
  host ppp0
   ip address 10.0.0.2
 network eth1-2
  ip subnet 0.0.0.0/0 interface ppp1
  host ppp1
   ip address 10.1.0.1
!
application esp
 protocol 50
!
application isakmp
 protocol udp
 dport 500
!
firewall
 rule 10 permit any from private to private no-state-enforcement
 rule 20 permit any from private to public
 rule 30 permit isakmp from public.eth1-1.ppp0 to public
 rule 40 permit isakmp from public to public.eth1-1.ppp0
 rule 50 permit esp from public.eth1-1.ppp0 to public
 rule 60 permit esp from public to public.eth1-1.ppp0
 rule 70 permit undecided from public.eth1-2.ppp1 to public.eth1-2
 protect
!
nat
 rule 10 masq any from private to public.eth1-2 with src public.eth1-2.ppp1
 enable
!
crypto isakmp key secret address 10.0.0.1
!
dpi
 provider procera
 learning
 enable
!
policy-based-routing
 application-decision once-only
 ip policy-route 10 match micrsoft from private nexthop ppp1
 ip policy-route 20 match office from private nexthop ppp1
 policy-based-routing enable
!
tunnel security-reprocessing
!
interface tunnel1
 mtu 1300
 tunnel source ppp0
 tunnel destination 10.0.0.1
 tunnel protection ipsec
 tunnel mode ipsec ipv4
 ip address 172.16.0.2/30
 ip tcp adjust-mss 1260
!
ip route 0.0.0.0/0 tunnel1
ip route 10.0.0.1/32 ppp0
ip route 192.168.10.0/24 tunnel1
ip route 192.168.10.0/24 Null 254
!
ip name-server 192.168.10.1
!
ip dns forwarding
!
end


設定例集#62: [ 設定例集目次 ] ページ内目次

(C) 2015 - 2019 アライドテレシスホールディングス株式会社

PN: 613-002107 Rev.AA